Amazon S3 现在支持基于属性的访问权限控制

发布于: 2025年11月20日

Amazon S3 支持对 S3 通用存储桶进行基于属性的访问权限控制 (ABAC)。除了在 S3 存储桶上使用标签进行成本分配外，您现在还可以将其用于 ABAC 来自动管理数据权限。这有助于避免随着组织发展而频繁更新 AWS Identity and Access Management (IAM) 或存储桶策略，从而简化您大规模治理访问权限的方式。

有了 ABAC 支持，Amazon S3 可在授予数据访问权限之前自动评估策略中基于标签的条件。例如，创建一个引用存储桶标签的 IAM 策略，然后，只需向新的或现有存储桶添加或修改标签即可授予用户和角色访问权限。首先，使用 S3 PutBucketAbac API 在您的存储桶上启用 ABAC，并通过 S3 TagResource 和 UntagResource API 管理标签。您还可以要求用户在创建存储存储桶时添加特定标签，以便在整个组织中设置一致的标记标准。

ABAC 对 S3 通用存储桶的支持现已通过 AWS 管理控制台、S3 REST API、AWS CLI、AWS SDK 和 AWS CloudFormation 在所有 AWS 区域免费推出。要了解有关在 S3 通用存储桶中使用标签进行访问权限控制的更多信息，请阅读我们的博客或访问 S3 用户指南。